امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۹ آبان ۱۴۰۴

🕒 زمان مطالعه: حدود ۱۶ دقیقه

در دنیای دیجیتال، نبردی دائمی و نامرئی بین مهاجمان و مدافعان در جریان است. اما این دیگر شطرنج پدربزرگ شما نیست؛ این یک مسابقه شطرنج سرعتی در تاریکی است که حریف شما می‌تواند مهره‌ها را به دلخواه خود تغییر دهد. در خط مقدم این نبرد، مهاجمان از دوران حملات «کور و پر سر و صدا» فاصله گرفته و به استادان صبر، فریب و ظرافت تبدیل شده‌اند. آنها دیگر با پتک به در نمی‌کوبند؛ بلکه با هوشمندی، کلید را از زیر پادری برمی‌دارند. این مقاله پرده از ده حقیقت شگفت‌انگیز از دنیای امنیت سایبری برمی‌دارد و شما را به سفری در ذهن مهاجمان مدرن می‌برد تا ببینید چگونه از هوش مصنوعی، ابزارهای خود ما و حتی اشتباهات کوچک ما علیه خودمان استفاده می‌کنند.

۱. هوش مصنوعی را می‌توان فریب داد تا به شما دستور هک کردن بدهد – خلأ داده هوش مصنوعی – Data Vacuum

ما به دستیارهای هوش مصنوعی مانند مایکروسافت Copilot اعتماد می‌کنیم تا پاسخ‌های سریع و دقیق به ما بدهند. اما این اعتماد، بزرگترین نقطه ضعف آنهاست. مهاجمان می‌توانند این اعتماد را به سلاحی تبدیل کنند که یک ابزار مفید را ناخواسته به همدست آنها بدل می‌کند.

بر اساس ارائه‌ای در کنفرانس امنیتی DEF CON که توسط Hackers Arise گزارش شده، مهندس امنیت توبیاس دیل یک نقص اساسی را کشف کرده است. وقتی یک هوش مصنوعی با سؤالی خارج از داده‌های آموزشی خود مواجه می‌شود، به موتور جستجو (مثلاً بینگ) روی می‌آورد و نتیجه اول را به عنوان «منبع حقیقت» می‌پذیرد. مهاجمان می‌توانند با ایجاد محتوا برای یک عبارت جستجوی کم‌رقابت (پدیده‌ای به نام «خلأ داده»)، به راحتی رتبه اول را از آن خود کنند. برای مثال، یک مهاجم صفحه‌ای برای سؤالی مانند «کجا می‌توانم سریال Zero Day Quest را تماشا کنم؟» می‌سازد و در آن یک دستور مخرب PowerShell را در قالب پرسش و پاسخ قرار می‌دهد. وقتی شما این سؤال را از هوش مصنوعی می‌پرسید، او با اعتماد کامل، همان دستور مخرب را به عنوان راهنمایی قانونی به شما ارائه می‌دهد. این حمله به زیبایی نشان می‌دهد که چگونه می‌توان با دستکاری اعتماد ذاتی سیستم‌ها، آنها را فریب داد؛ موضوعی که در ادامه باز هم به آن برمی‌گردیم.

“بذار خلاصه بگم 👇” هوش مصنوعی به نتایج جستجو اعتماد کورکورانه داره. یه هکر می‌تونه با دستکاری نتایج جستجو، کاری کنه که هوش مصنوعی دستورات مخرب رو به عنوان جواب درست به شما نشون بده.

۲. گاهی وقت‌ها، «وصله امنیتی» خودش یک مشکل جدید است – نقص امنیتی WSUS

نصب آپدیت‌های امنیتی (Patch) ستون فقرات دفاع سایبری است. اما در یک نمونه کلاسیک از طنز تلخ امنیت سایبری، گاهی اوقات خودِ این وصله‌ها حفره‌های امنیتی جدیدی ایجاد می‌کنند. درسی حیاتی برای تیم‌های IT که هر وصله‌ای را یک درمان قطعی می‌دانند.

محققان شرکت CODE WHITE داستانی جالب در این زمینه دارند. آنها در حال بررسی یک آسیب‌پذیری مشکوک در سرویس به‌روزرسانی ویندوز سرور مایکروسافت (WSUS) بودند. در حین مقایسه کدها قبل و بعد از وصله امنیتی ماه اکتبر ۲۰۲۵ برای آن تحقیق، کاملاً تصادفی به یک آسیب‌پذیری کاملاً جدید و متفاوت برخوردند که خودِ آن وصله ایجاد کرده بود! این نقص جدید (CVE-2023-35317) یک آسیب‌پذیری خطرناک در فرآیند SoapFormatter بود که به یک مهاجم غیرمجاز اجازه می‌داد با ارسال یک درخواست دستکاری‌شده به یک وب‌سرویس خاص (/ReportingWebService/ReportingWebService.asmx)، کد دلخواه خود را از راه دور اجرا کند. این کشف که از طریق روش «diffing» (مقایسه کدها) انجام شد، نشان می‌دهد که چگونه تلاش برای رفع یک مشکل می‌تواند ناخواسته در دیگری باز کند.

“بذار خلاصه بگم 👇” گاهی آپدیت‌های امنیتی که برای رفع یک مشکل میان، خودشون یه حفره امنیتی جدید و حتی بدتر ایجاد می‌کنن. مثل اینه که قفل در رو عوض کنی ولی کلیدش زیر پادری بمونه!

۳. بدافزارهای هوشمند منتظر می‌مانند تا شما ناهار بروید – لودرهای کنترل‌شده با هوش مصنوعی – AI-gated loaders

بدافزارها دیگر ابزارهای «بزن و در رو» نیستند. ابزارهای تهاجمی مدرن، هوشمندتر و بسیار صبورتر شده‌اند. آنها منتظر لحظه مناسب می‌مانند تا ضربه خود را در سکوت کامل وارد کنند و شانس شناسایی شدن را به حداقل برسانند.

تحقیقات SpecterOps مفهوم جدیدی به نام «لودرهای کنترل‌شده با هوش مصنوعی» (AI-gated loaders) را معرفی می‌کند. برخلاف لودرهای سنتی که بلافاصله کد مخرب خود را اجرا می‌کنند و به همین دلیل «پر سر و صدا» و قابل شناسایی هستند، این روش جدید کاملاً متفاوت است. این لودر ابتدا یک تصویر کلی از وضعیت سیستم تهیه می‌کند: آیا کاربر فعال است (حرکت ماوس، پنجره فعال)؟ آیا نرم‌افزار امنیتی (مثل Defender) در حال اجراست؟ آیا ساعت کاری است؟ سپس این اطلاعات را برای یک مدل زبان بزرگ (LLM) ارسال کرده و یک سؤال به سبک انسانی می‌پرسد: «آیا این کامپیوتر شبیه یک سیستم واقعی با کاربر فعال است یا یک محیط آزمایشی امنیتی؟» مدل هوش مصنوعی یک پاسخ ساده «بله» یا «خیر» در قالب JSON برمی‌گرداند و بدافزار تنها در صورتی اجرا می‌شود که پاسخ «بله» را با اطمینان بالا دریافت کند. این صبر و هوشمندی، نشان‌دهنده تکامل ابزارهای حمله است.

“بذار خلاصه بگم 👇” بدافزارهای جدید قبل از اجرا، با هوش مصنوعی چک می‌کنن که آیا شما پشت سیستم هستید یا نه. اگه سیستم بیکار باشه و شرایط امن به نظر برسه، تازه کارشون رو شروع می‌کنن تا کسی متوجه نشه.

۴. هکرها از ابزارهای خود ویندوز برای پنهان ماندن استفاده می‌کنند حملات LotL

مخفی‌کاری، هنر یک مهاجم موفق است. بهترین مهاجمان همیشه از ابزارهای عجیب و غریب استفاده نمی‌کنند؛ بلکه با استفاده از ابزارهای قانونی که از قبل روی سیستم شما نصب شده‌اند، خود را در میان فعالیت‌های عادی پنهان می‌کنند. این رویکرد که «زندگی از منابع موجود» (Living-off-the-Land یا LotL) نام دارد، استراتژی اصلی مهاجمان برای به جا نگذاشتن ردپاست.

طبق گزارش مشترک Symantec و Carbon Black، هکرهای روسی در حملات خود به سازمان‌های اوکراینی به طور گسترده از این تاکتیک استفاده کرده‌اند. آنها پس از نفوذ اولیه از طریق وب‌شل‌ها، از ابزارهای داخلی ویندوز برای پیشبرد اهداف خود سوءاستفاده کردند:

  • PowerShell: برای مستثنی کردن پوشه‌ها از اسکن آنتی‌ویروس و اجرای بدافزارها.
  • Scheduled Tasks (وظایف زمان‌بندی‌شده): برای اجرای مکرر اسکریپت‌های مخرب.
  • RDPclip: برای دسترسی به داده‌های کلیپ‌بورد در جلسات دسکتاپ از راه دور.
  • OpenSSH: برای ایجاد یک کانال دسترسی از راه دور پایدار و مخفی.

استفاده از این ابزارهای قانونی باعث می‌شود فعالیت‌های مخرب در میان انبوهی از اقدامات مدیریتی عادی گم شود و شناسایی آن برای تیم‌های امنیتی تقریباً غیرممکن گردد. این استراتژی هوشمندانه نشان می‌دهد که مهاجمان برای پنهان شدن، نه تنها از نرم‌افزارهای قانونی، که حتی از قطعات سخت‌افزاری معتبر نیز سوءاستفاده می‌کنند.

“بذار خلاصه بگم 👇” هکرها برای اینکه ردی از خودشون به جا نذارن، به جای استفاده از ویروس‌های عجیب و غریب، از ابزارهای خود ویندوز مثل PowerShell و Task Scheduler استفاده می‌کنن. اینجوری کارهاشون شبیه فعالیت‌های عادی مدیریتی به نظر میاد.

۵. مهاجمان درایورهای قدیمی و آسیب‌پذیر را برای غیرفعال کردن آنتی‌ویروس شما به همراه می‌آورند – تکنیک BYOVD

نرم‌افزارهای امنیتی (EDR) مانند نگهبانان رایانه‌های یک شرکت عمل می‌کنند. اما مهاجمان روش هوشمندانه‌ای برای خلع سلاح این نگهبانان پیدا کرده‌اند: آنها اسب تروای خود را در قالب یک درایور سخت‌افزاری آسیب‌پذیر به همراه می‌آورند. این یک نمونه دیگر از سوءاستفاده از اعتماد ذاتی سیستم است.

این تکنیک که «آوردن درایور آسیب‌پذیر خود» (BYOVD) نام دارد، به این صورت عمل می‌کند: مهاجمان یک درایور سخت‌افزاری قانونی و امضاشده از یک شرکت واقعی (مانند درایور RTCore64.sys از MSI Afterburner) پیدا می‌کنند که دارای یک نقص امنیتی شناخته‌شده است. از آنجایی که درایور توسط یک فروشنده معتبر امضا شده، سیستم‌عامل به آن اعتماد کرده و اجازه می‌دهد تا با بالاترین سطح دسترسی (سطح هسته یا kernel) اجرا شود. دسترسی به هسته مانند داشتن کلید اتاق کنترل اصلی ساختمان است؛ در حالی که EDR نگهبانی در طبقه اول است. مهاجم از طریق آسیب‌پذیری درایور «معتبر»، کنترل اتاق اصلی را به دست گرفته، دوربین‌ها را خاموش کرده و نگهبان را از بازی خارج می‌کند. این روش یک «گرگ در لباس میش» است که کنترل‌های امنیتی را به راحتی دور می‌زند.

“بذار خلاصه بگم 👇” یه روش هوشمندانه هک اینه که هکرها یه درایور قدیمی ولی معتبر (مثلاً از یه شرکت معروف) که مشکل امنیتی داره رو روی سیستم شما نصب می‌کنن. چون درایور معتبره، ویندوز بهش اعتماد می‌کنه و هکرها از طریق اون حفره امنیتی، آنتی‌ویروس شما رو از کار میندازن.

۶. آن «آخرین سرور» که در شرکت نگه داشته‌اید، زمین بازی هکرهاست – آخرین سرور Exchange

در حالی که برخی مهاجمان اسب تروای خود را به همراه می‌آورند، برخی دیگر به سادگی از درهای پشتی فراموش‌شده‌ای که خودمان باز گذاشته‌ایم وارد می‌شوند. بسیاری از شرکت‌ها در حال مهاجرت به سرویس‌های ابری مانند مایکروسافت ۳۶۵ هستند، اما اغلب یک سرور داخلی را برای مدیریت نگه می‌دارند. این «آخرین سرور»، که به «روح در اتاق سرور» مشهور است، معمولاً فراموش می‌شود، اما هکرها هرگز آن را از یاد نمی‌برند.

بر اساس راهنمایی‌های آژانس امنیت سایبری آمریکا (CISA) و شرکای بین‌المللی آن، بسیاری از سازمان‌ها در محیط‌های ترکیبی، یک «آخرین سرور Exchange» را برای مدیریت برخی ویژگی‌های وابسته به زیرساخت داخلی حفظ می‌کنند. مشکل اینجاست که این سرور باقی‌مانده همچنان به شبکه متصل است، به وصله‌های امنیتی نیاز دارد و اغلب به یک نقطه ورود آسیب‌پذیر و فراموش‌شده برای مهاجمان تبدیل می‌شود. توصیه رسمی CISA واضح است: پس از انتقال کامل به ابر، هرگونه سرور Exchange داخلی که به پایان عمر خود رسیده را از رده خارج کنید. نگه داشتن آن یک ریسک غیرضروری است.

“بذار خلاصه بگم 👇” وقتی شرکت‌ها به سرویس‌های ابری مهاجرت می‌کنن، معمولاً یه سرور قدیمی Exchange رو برای مدیریت نگه می‌دارن. این سرور فراموش‌شده و آپدیت‌نشده، بهترین نقطه ورود برای هکرها به کل شبکه است.

۷. کدهای مخرب در جایی پنهان می‌شوند که اسکنرهای امنیتی شما نمی‌توانند ببینند – Remote Dynamic Dependencies – پکیج npm

توسعه‌دهندگان به شدت به پکیج‌های متن‌باز از مخازنی مانند npm متکی هستند. ابزارهای امنیتی این پکیج‌ها را برای کدهای مخرب اسکن می‌کنند، اما مهاجمان روشی هوشمندانه برای پنهان شدن از چشم این اسکنرها پیدا کرده‌اند.

کمپین بدافزاری “PhantomRaven” که طبق گزارش The Hacker News در بیش از ۱۰۰ پکیج npm یافت شده، از تکنیکی به نام وابستگی‌های پویا از راه دور (RDDs) استفاده می‌کند. به جای اینکه کد مخرب مستقیماً در لیست وابستگی‌های پکیج ذکر شود، مهاجم به یک URL سفارشی تحت کنترل خود اشاره می‌کند. وقتی یک توسعه‌دهنده پکیج را نصب می‌کند، npm وابستگی را از سرور مهاجم دریافت می‌کند. اما نکته کلیدی اینجاست: اکثر اسکنرهای امنیتی و ابزارهای تحلیل وابستگی، این URLهای خارجی را دنبال نمی‌کنند. همانطور که منبع می‌گوید، «برای تمام سیستم‌های امنیتی خودکار، این پکیج‌ها “صفر وابستگی” نشان می‌دهند.» در این کمپین، بدافزار برای سرقت توکن‌های GitHub و سایر اطلاعات حساس توسعه‌دهندگان طراحی شده بود و نشان می‌دهد که مهاجمان چگونه از نقاط کور ابزارهای امنیتی بهره می‌برند.

“بذار خلاصه بگم 👇” هکرها کدهای مخرب رو مستقیماً در پکیج‌های برنامه‌نویسی قرار نمیدن. به جاش، یه آدرس اینترنتی در پکیج میذارن که موقع نصب، کد مخرب از اونجا دانلود میشه. اسکنرهای امنیتی این آدرس‌ها رو چک نمی‌کنن و در نتیجه فریب می‌خورن.

۸. سهل‌انگاری در تنظیمات: بزرگترین هدیه به هکرها، حتی روی مک – DAC برای macOS

این تصور رایج که macOS ذاتاً در برابر مشکلات امنیتی مصون است، یک باور خطرناک است. بزرگترین تهدیدها اغلب نه از اکسپلویت‌های پیچیده، بلکه از خطاهای انسانی ساده در پیکربندی سیستم ناشی می‌شوند. این اشتباهات کوچک، درهای بزرگی را به روی مهاجمان باز می‌کنند.

بر اساس مقاله‌ای درباره ابزار “Defense Against Configurations” (DAC) از ThreatLocker، بسیاری از آسیب‌پذیری‌ها نتیجه سهل‌انگاری در تنظیمات هستند. این «شکاف‌های پیکربندی» اغلب نادیده گرفته می‌شوند، زیرا کسی فعالانه به دنبال آن‌ها نمی‌گردد. نمونه‌های مشخصی از این تنظیمات نادرست عبارتند از:

  • فعال نگه داشتن پروتکل‌های قدیمی و آسیب‌پذیر مانند SMB نسخه یک برای اشتراک‌گذاری فایل.
  • فعال نکردن رمزگذاری دیسک (FileVault).
  • غیرفعال کردن فایروال داخلی سیستم.
  • فعال باقی گذاشتن حساب‌های مدیر محلی قدیمی و فراموش‌شده.

این موارد نه ویروس هستند و نه خرابی سخت‌افزار، بلکه هدیه‌هایی هستند که ما ناخواسته به هکرها می‌دهیم. ابزارهایی مانند DAC برای macOS با هدف آشکار کردن این نقاط ضعف طراحی شده‌اند تا قبل از اینکه یک مهاجم آن‌ها را پیدا کند، اصلاح شوند.

“بذار خلاصه بگم 👇” بزرگترین خطر امنیتی برای مک شما، ویروس‌های پیچیده نیست، بلکه تنظیمات ساده‌ای است که فراموش کرده‌اید انجام دهید؛ مثل روشن نکردن فایروال یا فعال نکردن رمزگذاری دیسک. این اشتباهات کوچک، درهای بزرگی برای هکرها باز می‌کنند.

۹. ابزارهای هک حرفه‌ای، اپن‌سورس و در دسترس همگان شده‌اند – ابزار AdaptixC2

قابلیت‌های پیشرفته هک دیگر محدود به گروه‌های نخبه دولتی نیست. جنبش متن‌باز (open-source) دسترسی به فریم‌ورک‌های قدرتمند را برای همه فراهم کرده است. بر اساس گزارش Unit 42، ابزار AdaptixC2 یک فریم‌ورک C2 (فرمان و کنترل) متن‌باز و همه‌کاره است که توسط مهاجمان به طور فعال استفاده می‌شود. این ابزار به مهاجم اجازه می‌دهد کنترل کاملی بر یک ماشین آلوده به دست آورد.

گزارش به دو سناریوی آلودگی در دنیای واقعی اشاره می‌کند که هر دو بر پایه سوءاستفاده از اعتماد بنا شده‌اند:

۱. مهندسی اجتماعی: مهاجمان با جعل هویت پشتیبانی IT از طریق ایمیل‌های فیشینگ در Microsoft Teams، کارمندان را فریب داده و آنها را وادار به شروع یک جلسه پشتیبانی از راه دور قانونی کرده‌اند. سپس از این دسترسی برای نصب بدافزار استفاده کرده‌اند.
۲. اسکریپت‌های تولیدشده با هوش مصنوعی: در موردی دیگر، مهاجمان از یک اسکریپت PowerShell استفاده کردند که Unit 42 با «اطمینان بالا» معتقد است توسط هوش مصنوعی تولید شده است. نشانه‌هایی مانند کامنت‌های مفصل و شماره‌گذاری‌شده، این ارزیابی را تأیید می‌کنند.

این دموکراتیزه شدن ابزارهای هک، نشان می‌دهد که هر کسی با کمی انگیزه می‌تواند به ابزارهای پیچیده دسترسی پیدا کند.

“بذار خلاصه بگم 👇” ابزارهای پیشرفته هک مثل AdaptixC2 الان اپن‌سورس شدن و هر کسی می‌تونه ازشون استفاده کنه. هکرها با روش‌های ساده‌ای مثل ایمیل‌های فیشینگ و اسکریپت‌های ساخته‌شده با هوش مصنوعی، این ابزارها رو روی سیستم قربانیان نصب می‌کنن.

۱۰. یک کلیک اشتباه می‌تواند مرورگر شما را فوراً از کار بیندازد – آسیب‌پذیری Brash

در حالی که نگرانی اصلی ما در امنیت مرورگرها سرقت اطلاعات است، برخی آسیب‌پذیری‌ها صرفاً برای ایجاد اختلال و هرج و مرج طراحی شده‌اند. آسیب‌پذیری “Brash” که توسط محقق امنیتی خوزه پینو کشف شده، مرورگرهای مبتنی بر کرومیوم (مانند Chrome و Edge) را هدف قرار می‌دهد.

مکانیسم این حمله بسیار ساده و هوشمندانه است: اکسپلویت از عدم وجود محدودیت نرخ در API document.title سوءاستفاده می‌کند. یک مهاجم می‌تواند یک URL مخرب ایجاد کند که مرورگر را با میلیون‌ها درخواست به‌روزرسانی عنوان در ثانیه بمباران می‌کند. این کار، «رشته رابط کاربری» (بخشی از مرورگر که مسئول ترسیم آنچه می‌بینید و پاسخ به کلیک‌های شماست) را اشباع کرده و باعث می‌شود مرورگر در عرض ۱۵ تا ۶۰ ثانیه کرش کند. نگران‌کننده‌تر اینکه مهاجم می‌تواند این حمله را با یک محرک زمانی برنامه‌ریزی کند تا مانند یک بمب منطقی در یک زمان خاص فعال شود و از شناسایی اولیه فرار کند. تنها کاری که از سوی کاربر لازم است، یک کلیک ساده است.

“بذار خلاصه بگم 👇” یک آسیب‌پذیری جدید به نام Brash کشف شده که با یک لینک مخرب، مرورگر کروم شما را با تغییر میلیونی عنوان تب در یک ثانیه، هنگ و کرش می‌کند. این حمله می‌تواند زمان‌بندی شود تا در یک لحظه خاص فعال شود.

**نتیجه‌گیری

چشم‌انداز امنیت سایبری یک میدان نبرد نامتقارن است که در آن مهاجمان از «برتری هوشمندی» به جای «برتری قدرت» استفاده می‌کنند. آنها اعتماد ما به سیستم‌ها را هدف می‌گیرند، در میان فعالیت‌های عادی ما پنهان می‌شوند و با صبر منتظر یک اشتباه کوچک می‌مانند. درک این تاکتیک‌های ظریف، اولین قدم برای ساختن یک دفاع موثر است. امنیت دیگر فقط یک مسئولیت فنی نیست؛ یک فرهنگ است.

“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec

نوشته‌ای مرتبط